Preparar crear cuentas Manualmente es una molestia: solo queremos acceder a los servicios de la aplicación, no pasar cinco minutos configurando la dirección de correo electrónico, las contraseñas y la información básica. Esta es la razón por la que los botones "Iniciar sesión con Facebook" e "Iniciar sesión con Google" se han vuelto tan populares en línea.
A los usuarios les encanta este método de inicio de sesión federado, ya que facilita la creación de cuentas y a los sitios web/aplicaciones también les gusta, ya que les permite lograr que más usuarios se registren para obtener cuentas. Como puede crear cuentas usando Google, Facebook, Twitter, Microsoft, LinkedIn, Github, WeChat, VKontakte, Weibo y más, es probable que haya usado uno de estos servicios, pero también se ha preguntado brevemente si es una buena idea. Tiene razón al preguntar: sí, es conveniente, pero hay compensaciones cuando se trata de seguridad, y es esencialmente una calle de un solo sentido en lo que respecta a la privacidad.
¿Cómo funcionan los inicios de sesión sociales?
No todos los sistemas funcionan igual, pero el proceso básico es algo global. La mayoría de los servicios de inicio de sesión de terceros utilizan una combinación de los protocolos OpenID y OAuth. OpenID maneja la autorización del usuario (el inicio de sesión en Facebook confirma su identidad en el sitio que está tratando de usar), mientras que OAuth rige cómo otros sitios pueden acceder a sus datos (nombre, edad, intereses, amigos, etc.).
Hay tres actores principales involucrados en el proceso de inicio de sesión social:
- El usuario (¡eso es!) está solicitando acceso a la aplicación o sitio web
- La aplicación o sitio web al que el usuario quiere acceder
- El autenticador que confirma tu identidad y controla el acceso a tus datos (Facebook, Google, etc.)
Un inicio de sesión social típico ocurre así:
- El usuario presiona el botón “Iniciar sesión con ____”.
- La aplicación abre un enlace que le pide al usuario que inicie sesión en el sitio web de la herramienta de autorización. El enlace contiene información que le indica el propietario del sitio que realiza la solicitud.
- El usuario ingresa su nombre de usuario y contraseña en el sitio de la herramienta Autorizador, esto significa que la aplicación nunca ve su información.
- El autorizador genera un código de uso único y lo envía a la aplicación.
- Luego, la aplicación envía este código a la herramienta Authorizer con una solicitud para acceder a la API Authorizer.
- El autenticador valida el código y la aplicación emite un token (generalmente con un límite de tiempo) que permite que la aplicación solicite una solicitud adjunta de cierta información del usuario.
Profesionales de la seguridad: los inicios de sesión sociales pueden ser más seguros que los inicios de sesión con contraseña con correo electrónico
Los inicios de sesión sociales son tan seguros como las empresas que dirigen, lo que, dado que se encuentran entre las empresas tecnológicas más grandes del mundo, las coloca en la categoría de "muy buenas". No ves que Facebook y Google sean pirateados de izquierda a derecha, principalmente porque se preocupan mucho por su seguridad en línea e invierten más en la cadena minorista.
Si está utilizando un inicio de sesión único, el sitio para el que está creando una cuenta no tendrá acceso a su nombre de usuario y contraseña, lo que significa que nadie puede robar su cuenta (aunque pueden obtener cierta información asociada con ella) .
Tampoco ingresa sus contraseñas en todas partes, y dado que tendemos a reutilizar nuestras contraseñas con bastante frecuencia, está bien. Probablemente no sigamos las mejores prácticas de contraseña de todos modos, por lo que cuanto menos mala sea la seguridad, mejor.
Contras de seguridad: si sus credenciales de inicio de sesión social son pirateadas, también lo son sus cuentas
¿Qué sucede si Facebook y Google son pirateados o alguien obtiene acceso a su cuenta? Ambas compañías han tenido problemas de datos en el pasado (Cambridge Analytica, Google+) y fue LinkedIn el que se vio seriamente comprometido, por lo que la gran tecnología no tiene un historial del 100% aquí.
¿Puede alguien con su información de inicio de sesión en las redes sociales fingir ser usted en cada aplicación y sitio de redes sociales que ha utilizado para iniciar sesión? Básicamente sí. Ya sea una brecha de seguridad en todo el sistema, una contraseña débil o malware en su computadora que violó sus credenciales de inicio de sesión de Facebook, cualquier persona en posesión de sus credenciales de inicio de sesión puede hacerse pasar por usted en otra aplicación. Esto hace que los inicios de sesión sociales sean un único punto de falla, creando un posible efecto dominó si su cuenta es pirateada con autorización.
Facebook, Google y Twitter están trabajando arduamente para que esto suceda, pero incluso si finalmente persisten, no pueden hacer mucho si su contraseña es 123456789 (consulte estos consejos para obtener una contraseña segura) y mantiene su cuenta compartida. o dispositivos físicamente accesibles. Si está utilizando un inicio de sesión social, debe tratarlo como una clave para las cuentas a las que tiene acceso.
Ventajas de la privacidad
Este será un clip corto porque realmente no hay beneficios de privacidad para los usuarios. Los inicios de sesión sociales no solo divulgarán sus datos a aquellos que los soliciten, que es lo mínimo que esperaría, sino que entregará mucha más información personal que si usara una combinación de correo electrónico y contraseña.
Contras de privacidad: todo el mundo está aprendiendo más sobre ti
Dependiendo del servicio que esté utilizando, puede controlar más o menos qué aplicaciones de datos pueden extraer de los perfiles sociales. Es fácil dar más de lo que pretendes, y las aplicaciones pueden pedir lo que quieren sabiendo que la mayoría de los usuarios probablemente fallarán en un 'sí'. Los amigos, la ubicación, el historial de publicaciones, los intereses y otra información personal se pueden raspar fácilmente sin que esté completamente informado.
Por otro lado, recuerda que la mayoría de las empresas que te brindan servicios de inicio de sesión se preocupan mucho por recopilar más datos sobre ti. Les gusta saber qué aplicaciones usa, con qué frecuencia las usa e incluso información más precisa sobre lo que hace con ellas, y usar este método de inicio de sesión básicamente les da esa información directamente. No está claro cuántos datos obtienen Facebook y Google de las aplicaciones que usan servicios de inicio de sesión, pero si no se siente cómodo con una empresa que sabe mucho sobre lo que está haciendo en la aplicación, es mejor no asociar una cuenta con esa empresa. .
¿Debo usar inicios de sesión sociales?
Los inicios de sesión sociales pueden ser más seguros en muchos casos, especialmente si desea mantener sus cuentas principales bloqueadas en gran medida y no está seguro de si una aplicación o sitio tiene la mejor seguridad en Internet. En realidad, es más seguro iniciar sesión en una aplicación o sitio ofuscado con un inicio de sesión social, ya que no revelará una contraseña que probablemente reutilice en varios sitios. Sin embargo, si está creando una cuenta con información potencialmente confidencial en un servicio bien protegido, una poderosa función de correspondencia de correo electrónico/contraseña será útil.
En cuanto a la privacidad, es una decisión personal. Si no desea que la aplicación sepa más sobre usted de lo que necesita, no inicie sesión en Facebook. Esto funciona de la misma manera en la otra dirección: no use una herramienta de autorización de terceros a menos que se sienta cómodo con que ese tercero recopile algunos datos adicionales sobre usted.
